ADC

配置 NetScaler 设备以进行审核日志记录

警告:

从 NetScaler 12.0 build 56.20 起,经典策略表达式及其用法已过时(不建议使用但仍受支持),作为替代方案,Citrix 建议您使用高级策略。有关详细信息,请参阅 高级策略

审核日志显示来自不同模块的状态信息,以便管理员可以按时间顺序查看事件历史记录。审核框架的主要组成部分是“审核行动”和“审核政策”。“审核操作”描述审核服务器配置信息,而“审核策略”将绑定实体链接到“审核操作”。审核策略使用“经典策略引擎”(CPE) 框架或进度集成 (PI) 框架将“审核操作”链接到“系统全局绑定实体”。

但是,在将审核日志策略绑定到全球实体方面,策略框架彼此不同。以前,审核模块仅支持经典和高级策略表达式。目前,使用高级表达式只能将审核日志策略绑定到系统全局实体。

注意

将策略绑定到全局实体时,必须将其绑定到同一表达式的系统全局实体。例如,您无法将经典策略绑定到高级全局实体,也无法将高级策略绑定到经典全局实体。

此外,您无法将经典审核日志策略和高级审核日志策略绑定到负载平衡虚拟服务器。

在经典策略表达式中配置审核日志策略

在经典策略中配置审核日志包括以下步骤:

  1. 配置审核日志操作。您可以为不同的服务器和不同的日志级别配置审核操作。“审核操作”描述审核服务器的配置信息,而“审核策略”将绑定实体链接到“审核操作”。默认情况下,SYSLOG 使用用户数据协议 (UDP) 进行数据传输,而 NSLOG 仅使用 TCP 将日志信息传输到日志服务器。在传输完整数据方面,TCP 比 UDP 更可靠。将 TCP 用于 SYSLOG 时,可以在 NetScaler 设备上设置缓冲区限制以存储日志。达到缓冲限制后,日志将发送到 SYSLOG 服务器。
  2. 配置审核日志策略。您可以配置 SYSLOG 策略将消息记录到 SYSLOG 服务器,也可以配置 NSLOG 策略将消息记录到 NSLOG 服务器。每个策略都包括设置为 truens_true、用于记录消息的规则,以及 SYSLOG 或 NSLOG 操作。
  3. 将审核日志策略绑定到全局实体。您必须将审核日志策略全局绑定到全局实体,例如 SYSTEM、VPN、NetScaler AAA 等。您可以这样做以启用所有 NetScaler 系统事件的日志记录。通过定义优先级,您可以设置审核服务器日志记录的评估顺序。优先级 0 是最高的,首先进行评估。优先级数字越高,评估的优先级越低。

以下各节将介绍这些步骤中的每一个步骤。

配置审核日志操作

使用 CLI 在高级策略基础结构中配置 SYSLOG 操作。

注意

NetScaler 设备只允许您为 SYSLOG 服务器 IP 地址和端口配置一个 SYSLOG 操作。设备不允许您为同一服务器 IP 地址和端口配置多个 SYSLOG 操作。

syslog 操作包含对 syslog 服务器的引用。它指定要记录哪些信息,并提及如何记录这些信息。

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

<!--NeedCopy-->

使用 CLI 在高级策略基础结构中配置 NSLOG 操作。

ns 日志操作包含对 nslog 服务器的引用。它指定要记录哪些信息,并提及如何记录这些信息。

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

配置审核日志策略

使用 CLI 在经典策略基础结构中配置审核日志策略。

在命令提示符下,键入:

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> <-rule> <action>
<!--NeedCopy-->

将审核系统日志策略绑定到审核 syslog 全局

使用 CLI 在高级策略框架中绑定审核日志策略。

在命令提示符下,键入:

bind syslogGlobal -policyName <policyName> -priority <priority>

unbind syslogGlobal -policyName <policyName> -priority <priority>

使用 CLI 在经典策略框架中绑定审核日志策略。

在命令提示符下,键入:

bind systemglobal <policy Name> <Priority>

unbind systemglobal <policy Name> <Priority>

使用高级策略表达式配置审核日志策略

在高级策略中配置审核日志包括以下步骤:

  1. 配置审核日志操作。您可以为不同的服务器和不同的日志级别配置审核操作。“审核操作”描述审核服务器的配置信息,而“审核策略”将绑定实体链接到“审核操作”。默认情况下,SYSLOG 使用用户数据协议 (UDP) 进行数据传输,而 NSLOG 仅使用 TCP 将日志信息传输到日志服务器。在传输完整数据方面,TCP 比 UDP 更可靠。将 TCP 用于 SYSLOG 时,可以在 NetScaler 设备上设置缓冲区限制以存储日志。达到缓冲限制后,日志将发送到 SYSLOG 服务器。
  2. 配置审核日志策略。您可以配置 SYSLOG 策略将消息记录到 SYSLOG 服务器,也可以配置 NSLOG 策略将消息记录到 NSLOG 服务器。每个策略都包括设置为 truens_true、用于记录消息的规则,以及 SYSLOG 或 NSLOG 操作。
  3. 将审核日志策略绑定到全局实体。您必须将审核日志策略全局绑定到 SYSTEM 全局实体,以启用所有 NetScaler 系统事件的日志记录。通过定义优先级,您可以设置审核服务器日志记录的评估顺序。优先级 0 是最高的,首先进行评估。优先级数字越高,评估的优先级越低。

注意

NetScaler 设备会评估绑定为 true 的所有策略。

配置审核日志操作

使用 CLI 在高级策略基础结构中配置 syslog 操作。

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]
<!--NeedCopy-->

使用 CLI 在高级策略基础结构中配置 NSLOG 操作:

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

配置审核日志策略

使用 CLI 添加系统日志审核操作。

在命令提示符下,键入:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel> [-managementlog <managementlog> ...] ... [-managementloglevel <managementloglevel> ...][-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold]
<!--NeedCopy-->

示例

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 TRUE audit-action1
    > add audit nslogPolicy nslog-pol1 TRUE nslog-action1
    > bind system global nslog-pol1 -priority 20
<!--NeedCopy-->

注意:

syslogaction 配置中的 managementlog 选项仅支持服务器 IP 和端口配置。不支持基于域的服务 (DBS) 和负载平衡虚拟服务器名称配置。

对于管理日志,请使用支持的命令:

add syslogAction <serverIP>

不支持以下配置:

add syslogAction <serverDomainName>

add syslogAction -lbVserverName <lb_vserver_name>

有关详细信息,请参阅将管理日志直接从 NetScaler 导出到 Splunk

使用 CLI 添加 nslog 审核操作。

在命令提示符下,键入:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`
<!--NeedCopy-->

将审核日志策略绑定到全局实体

使用 CLI 在高级策略框架中绑定 syslog 审核日志策略。

在命令提示符下,键入:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

使用 GUI 配置审核日志策略

  1. 导航到 配置 > 系统 > 审核 > 系统日志
  2. 选择 服务器 选项卡。
  3. 单击添加
  4. 在“创建审核服务器”页中,填充相关字段,然后单击“创建”。
  5. 要添加策略,请选择“ 略”选项卡,然后单击“添加”。
  6. 在“创建审核系统日志策略”页中,填充相关字段,然后单击 创建
  7. 要全局绑定策略,请从下拉列表中选择 高级策略全局绑 定。选择 best_syslog_policy_ever 策略。单击 Select(选择)。
  8. 从下拉列表中,选择绑定点作为 SYSTEM_GLOBAL ,然后单击 绑定,然后单击 完成

配置基于策略的日志

您可以为重写和响应程序策略配置基于策略的日志记录。然后,当策略中的规则评估为 TRUE 时,将以定义的格式记录审核消息。要配置基于策略的日志记录,您可以配置审核消息操作,该操作使用高级策略表达式来指定审核消息的格式。然后将操作与策略关联起来。该策略可以全局绑定,也可以绑定到负载平衡或内容交换虚拟服务器。您可以使用审核消息操作在各种日志级别记录消息,可以是仅采用 syslog 格式,也可以同时采用 syslog 和新的 nslog 格式

必备条件

  • 在配置要以定义的格式向其发送日志的审核操作服务器时,启用了用户可配置日志消息 (userDefinedAuditlog) 选项。
  • 相关的审核策略绑定到系统全局。

配置审核消息操作

您可以将审核消息操作配置为在各种日志级别记录消息,既可以是仅采用 syslog 格式,也可以是 syslog 和新的 ns 日志格式。审核消息操作使用表达式指定审核消息的格式。

使用 CLI 创建审核消息操作

在命令提示符下,键入:

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)]
<!--NeedCopy-->
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL'
<!--NeedCopy-->

使用 GUI 配置审核消息操作

导航到“系统”>“审核”>“消息操作”,然后创建审核消息操作。

将审核消息操作绑定到策略

创建审核消息操作后,必须将其绑定到重写或响应策略。有关将日志消息操作绑定到重写或响应程序策略的更多信息,请参阅 重写响应程序

配置 NetScaler 设备以进行审核日志记录